Поделиться через


Централизованные политики авторизации

Центральная политика авторизации (CAP) собирает определенные правила авторизации (CAPR) в одну политику. Чтобы обеспечить объединение конкретных правил авторизации (CAPR) в целостную политику авторизации организации, на capr можно ссылаться вместе и применять к набору ресурсов. Это делается путем сбора нескольких (по ссылке) в CAP. После определения cap его можно распределить диспетчерами ресурсов для применения политики авторизации организации к ресурсам.

Cap имеет следующие атрибуты:

  • Коллекция CAPR — список ссылок на существующие объекты CAPR.
  • Идентификатор (sid)
  • Описание
  • Имя

Cap оценивается во время оценки доступа для файлов и папок, для которых администратор включает его. Во время вызова AccessCheck проверка CAP логически объединены с дискреционным ACL проверка. Это означает, что для получения доступа к файлу, к которому применяется cap, пользователь должен иметь доступ как в соответствии с CAP (связанными с ним CAP) так и дискреционным ACL к файлу.

Пример CAP:

CORPORATE-FINANCE-CAP]
CAPID=S-1-5-3-4-56-45-67-123
Policies=HBI-CAPE;RETENTION-CAPR

Определение CAP

Cap создается и редактируется в Active Directory с помощью нового пользовательского интерфейса в ADAC (или PowerShell), который позволяет администратору создать CAP и указать набор capr, составляющих capr.